Active Directory – Der Verzeichnisdienst von Microsoft Windows Server

Inhaltsverzeichnis

Microsoft Windows Server verfügen über einen Verzeichnisdienst namens Active Directory. Der Domain Service, abgekürzt “AD DS" ist die Kernkomponente von Active Directory. Sie ermöglicht das Management von Benutzern und Computern in einer Domäne sowie die Bereitstellung von Diensten für diese Objekte.
Datencenter mit Servern

Der Verzeichnisdienst von Microsoft Windows Servern

Das Active Directory ist der zentrale Verzeichnisdienst von Microsoft Windows Server. Er ermöglicht es, Benutzer- und Computerkonten zu verwalten sowie gemeinsam genutzte Ressourcen wie Dateien, Drucker oder E-Mail-Postfächer zu identifizieren und bereitzustellen. Außerdem stellt Active Directory eine Grundlage für die Sicherheit in Windows Server dar. In diesem Beitrag erfahren Sie, was Active Directory kann, welche Funktionen es hat und wie Sie es installieren. Schließlich zeigen wir Ihnen noch ein paar praktische Anwendungsfälle.

Was ist das Active Directory und wofür wird es genutzt?

Active Directory ist ein Verzeichnisdienst, der in einem Netzwerk verwendet wird, um Informationen über die Objekte zu speichern, die sich in diesem Netzwerk befinden. Es kann als eine Art Telefonbuch für ein Netzwerk betrachtet werden. Active Directory-Objekte können Benutzer, Computer, Drucker und andere Netzwerkgeräte sein. AD DS wird auch verwendet, um Sicherheitsrichtlinien und Zugriffsrechte für die Objekte im Netzwerk zu verwalten. Active Directory ist ein wesentliches Element von Microsoft Windows-Netzwerken. Die Active Directory-Datenbank enthält Informationen über alle Netzwerkobjekte und -benutzer. Diese Informationen werden im Active Directory-Objekten gespeichert. Diese Objekte sind logische Einheiten, die im Active Directory-Verzeichnis erstellt werden. Active Directory verwendet einen Ordner für jedes Objekt, das im Netzwerk vorhanden ist. Auch bietet es ein Graphical User Interface (GUI), mit dem Sie auf die Active Directory-Datenbank zugreifen und Objekte erstellen, bearbeiten oder löschen können.

Ist Active Directory eine Datenbank?

Prozessoren auf Motherboard

AD DS ist ein Verzeichnisdienst, der auf einer relationalen Datenbank basiert. Die Active Directory-Datenbank enthält Informationen über alle Netzwerkobjekte und -benutzer. Diese Informationen werden im Active Directory-Objekten gespeichert. Diese Objekte sind logische Einheiten, die im Active Directory-Verzeichnis erstellt werden. Es verwendet einen Ordner für jedes Objekt, das im Netzwerk vorhanden ist. Diese Ordner werden Objekte genannt. Jedes Objek hat einen eindeutigen Namen, eine Reihe von Attributen und einen Satz von Zugriffsrechten.

Die AD DS Datenbank wird auf einem Microsoft SQL Server- oder Oracle-Datenbankserver gespeichert. Active Directory verfügt über ein Replikationssystem, mit dem die Datenbank auf mehreren Servern gespeichert werden kann. Dies ermöglicht eine hohe Verfügbarkeit der Active Directory-Datenbank. Active Directory kann auch auf einem Stand-alone-Server installiert werden. In diesem Fall wird die Active Directory-Datenbank auf demselben Server gespeichert wie das Active Directory-Verzeichnis.

Wie ist das AD aufgebaut?

Active Directory ist in ein Domänen Kontroller Konto und ein Arbeitsstation Konto unterteilt. Das Domänen Kontroller Konto enthält alle Informationen über die Objekte in der Active Directory-Datenbank. Das Arbeitsstation Konto enthält nur Informationen über die Netzwerkobjekte, die auf der lokalen Arbeitsstation vorhanden sind.

Das Domänen Kontroller Konto ist in ein Schema und ein Sichtfeld unterteilt. Das Schema enthält alle Informationen über die Attribute der Active Directory-Objekte. Das Sichtfeld enthält Informationen über die Ordnerstruktur des Active Directory-Verzeichnisses.

Die Arbeitsstation Konten sind in ein Werkzeugkonto und ein Anwendungskonto unterteilt. Das Werkzeugkonto enthält alle Active Directory-Werkzeuge, die auf der Arbeitsstation installiert sind. Das Anwendungskonto enthält alle Informationen über die Anwendungen, die auf der Arbeitsstation installiert sind.

Aufbau des Active Directory

Was ist das Schema im Active Directory?

Das Schema ist der Regelsatz, der die Struktur einer Active Directory-Datenbank definiert. Das Schema definiert die Attribute eines Active Directory-Objekts und die Beziehungen zwischen ihnen. Das Schema wird in einer Datei namens “schema.ldf“ gespeichert. Das Active Directory-Schema kann erweitert werden, um neue Attribute und Objekte zu unterstützen. Dies erfolgt durch Hinzufügen neuer Attributdefinitionen und Objektklassen zur Datei “schema.ldf.” Active Directory unterstützt zwei Arten von Objekten: Containerobjekte und Blattobjekte.

Containerobjekte können andere Objekte enthalten, während Blattobjekte dies nicht können. Die häufigste Art von Containerobjekten ist die OU (Organizational Unit). Ein Blattobjekt ist normalerweise ein Benutzer- oder Computerkonto. Active Directory unterstützt auch Gruppen, die zum Verwalten des Zugriffs auf Ressourcen verwendet werden. Gruppen können entweder Sicherheitsgruppen oder Verteilergruppen sein. Sicherheitsgruppen werden verwendet, um den Zugriff auf Ressourcen zu steuern, während Verteilergruppen nur für E-Mail-Adressen verwendet werden. Es unterstützt zwei Arten von Gruppen: lokale Domänengruppen und globale Gruppen.

Domänenlokale Gruppen werden verwendet, um den Zugriff auf Ressourcen in einer bestimmten Domäne zu verwalten. Globale Gruppen werden verwendet, um den Zugriff auf Ressourcen in mehreren Domänen zu verwalten. Active Directory unterstützt auch Vertrauensstellungen, die verwendet werden, um Benutzern in einer Domäne den Zugriff auf Ressourcen in einer anderen Domäne zu ermöglichen. Vertrauensstellungen können entweder transitiv oder nichttransitiv sein.

Transitive Vertrauensstellungen ermöglichen den Zugriff auf Ressourcen in allen Domänen, denen die Domäne vertraut, die das Benutzerkonto enthält. Nichttransitive Vertrauensstellungen erlauben nur den Zugriff auf Ressourcen in der Domäne, die die Vertrauensstellung enthält. Active Directory unterstützt zwei Arten von Vertrauensstellungen: externe Vertrauensstellungen und Gesamtstruktur-Vertrauensstellungen. Externe Vertrauensstellungen werden verwendet, um den Zugriff auf Ressourcen in einer nicht vertrauenswürdigen Domäne zu ermöglichen, während Gesamtstruktur-Vertrauensstellungen verwendet werden, um den Zugriff auf Ressourcen in einer vertrauenswürdigen Domäne zu ermöglichen. Active Directory unterstützt auch Sites, die zum Verwalten der Replikation und des Netzwerkverkehrs verwendet werden. Sites sind Sammlungen von einem oder mehreren Subnetzen.

Funktionsweise des AD

Funktionsweise des Active Directory

Active Directory basiert auf dem Client-Server-Modell. Ein Active Directory-Client ist ein Computer, der über einen Netzwerkverbindung mit einem Active Directory-Server verbunden ist. Der Server bietet den Clients Zugriff auf das AD DS-Verzeichnis. Der Server verfügt über eine Datenbank, die alle Objekte in der Active Directory-Domäne enthält. Die Clients greifen auf die Active Directory-Datenbank über ein Netzwerkprotokoll namens Lightweight Directory Access Protocol (LDAP) zu.

Der Server selbst ist ein Computer, der die Active Directory-Software ausführt. Diese Software umfasst einen LDAP-Server, einen Kerberos-Key-Distribution-Center (KDC) und einen Global Catalog (GC) Server. Der LDAP-Server bietet Clients Zugriff auf die Active Directory-Datenbank. Der KDC generiert und verteilt Kerberos-Tickets, die von Clients verwendet werden, um sich beim Server zu authentifizieren. Der GC-Server bietet Clients Zugriff auf ein Replikat der Active Directory-Datenbank, die alle Objekte in der Domäne enthält.

Einrichtung des Active Directorys

Die Einrichtung von Active Directory ist ein zweistufiger Prozess. Zuerst muss der Server konfiguriert werden, und dann müssen die Clients konfiguriert werden.

Der Server wird mit dem Microsoft Management Console (MMC) Active Directory-Snap-In konfiguriert. Das Snap-In ermöglicht es dem Administrator, die Active Directory-Datenbank zu verwalten und neue Objekte hinzuzufügen. Sobald der Server konfiguriert ist, müssen die Clients konfiguriert werden, um Zugriff auf das Active Directory-Verzeichnis zu erhalten. Die Client-Konfiguration wird mit dem AD DS User und dem Computer MMC-Snap-In vorgenommen.

Active Directory bietet eine grafische Oberfläche, über die der Administrator Objekte erstellen, verschieben und löschen kann. Die meisten Aktionen im Active Directory erfordern jedoch die Eingabe einer Kommandozeile. Die Befehlszeilen-Tools, die mit Active Directory geliefert werden, sind jedoch sehr mächtig und ermöglichen dem Administrator die Durchführung komplexer Aufgaben.

Die Einrichtung von Active Directory ist ein wichtiger Schritt bei der Bereitstellung einer Microsoft Windows Server-Umgebung. Active Directory ermöglicht es dem Administrator, Benutzer und Computer in einer Domäne zu verwalten und Dienste für diese Objekte bereitzustellen. Sobald der Server und die Clients konfiguriert sind, kann der Administrator Active Directory verwenden, um eine Vielzahl von Diensten zu bereitstellen.

Unsere IT-Sicherheits Experten beraten Sie gerne bei der Einrichtung Ihres Active Directorys und darüberhinaus bei der Ergreifung von präventiven Maßnahmen zur Stärkung Ihrer Cyber-Resilienz.

Kontaktieren Sie uns jetzt unverbindlich „Kontakt„. Weiteres erfahren Sie auf unserer Lösungsseite „IT-Sicherheit Beratung„.

Verwaltung von Benutzerkonten im Active Directory

Verwaltung von Benutzerkonten im Active Directory

Benutzerkonten im Active Directory werden mithilfe der Active Directory Users and Computers MMC-Snap-In verwaltet. Um ein neues Benutzerkonto zu erstellen, muss der Administrator zunächst den Namen des neuen Benutzers, seine E-Mail-Adresse und ein Passwort eingeben. Anschließend kann der Administrator das Konto für den neuen Benutzer erstellen.

Sobald das Konto erstellt wurde, kann der Administrator die Berechtigungen für das Konto konfigurieren. Zu diesem Zweck wird der Administrator in der Regel eine Gruppe erstellen, die den neuen Benutzer als Mitglied aufnimmt. Dann können Berechtigungen für die Gruppe konfiguriert werden, sodass alle Mitglieder der Gruppe dieselben Berechtigungen haben.

Einmal eingerichtet, kann das Konto vom neuen Benutzer verwendet werden, um sich im Active Directory anzumelden. Der neue Benutzer kann dann auf alle Ressourcen zugreifen, für die er berechtigt ist. Wenn der Benutzer sein Passwort vergisst, kann er es mithilfe des Active Directory-Passwortrücksetzungsprozesses zurücksetzen.

Gruppen im Active Directory verwalten

Gruppen im Active Directory werden ebenfalls mithilfe der Active Directory Users and Computers MMC-Snap-In verwaltet. Um eine neue Gruppe zu erstellen, muss der Administrator den Namen der Gruppe, ihren Zweck und ihre Mitglieder eingeben. Anschließend kann der Administrator die Berechtigungen für die Gruppe konfigurieren.

Sobald die Gruppe erstellt wurde, können Benutzer der Gruppe hinzugefügt oder entfernt werden. Wenn ein Benutzer der Gruppe hinzugefügt wird, erhält er automatisch alle Berechtigungen, die für die Gruppe konfiguriert wurden. Wenn ein Benutzer aus der Gruppe entfernt wird, verliert er alle Berechtigungen, die über die Gruppe konfiguriert wurden.

Gruppen im Active Directory sind ein flexibles und mächtiges Werkzeug zur Verwaltung von Benutzerkonten. Mit Gruppen können Administratoren Berechtigungen für eine Vielzahl von Benutzern gleichzeitig konfigurieren. Darüber hinaus ermöglichen Gruppen es dem Administrator, bestimmte Arten von Benutzern zu identifizieren, z.B. alle Benutzer in einer Abteilung oder mit einem bestimmten Jobtitel.

Diensteim AD bereitstellen

Active Directory kann auch verwendet werden, um Dienste für Benutzer bereitzustellen. Einige der häufigsten verfügbaren Dienste sind:

  • Datei- und Druckerfreigabe
  • E-Mail
  • Websites
  • Datenbanken

Um einen Dienst für Benutzer bereitzustellen, muss der Administrator zunächst den Dienst auf einem Server konfigurieren. Anschließend kann er dann Active Directory verwenden, um den Dienst für die entsprechenden Benutzer bereitzustellen.

AD DS bietet eine zentrale Stelle, an der Dienste konfiguriert und verwaltet werden können. Auf diese Weise müssen Administratoren nicht jeden einzelnen Server konfigurieren und verwalten. Stattdessen können sie dies alles über Active Directory erledigen.

Sicherheitseinstellungen für den Verzeichnisdienst

Sicherheitseinstellungen im ActiveDirectory

Der Verzeichnisdienst von Microsoft Windows Server ist ein sehr mächtiges Werkzeug. Daher ist es wichtig, dass die Sicherheitseinstellungen für den Dienst richtig konfiguriert sind.

Die Sicherheitseinstellungen für den Dienst werden in der Regel vom Administrator konfiguriert. Es ist jedoch auch möglich, einige oder alle Sicherheitseinstellungen über Group Policy Objects (GPOs) zu konfigurieren.

Einige der wichtigsten Sicherheitseinstellungen für den Dienst sind:

  • Authentifizierungsmethoden: Die Authentifizierungsmethoden, die für den Dienst verfügbar sind, sollten sorgfältig ausgewählt werden. Es ist empfehlenswert, mehrere Authentifizierungsmethoden zu verwenden, um eine höhere Sicherheit zu gewährleisten.
  • Datenverschlüsselung: Die Daten, die vom Dienst verarbeitet werden, sollten verschlüsselt werden. Dies hilft dabei, sicherzustellen, dass die Daten nicht von unbefugten Personen gelesen werden können.
  • Zugriffskontrolllisten: Die Zugriffskontrolllisten (ACLs) für den Dienst sollten so konfiguriert werden, dass nur berechtigte Benutzer auf die Dienste zugreifen können.
  • Auditing: Das Auditieren von Aktionen, die auf den Dienst ausgeführt werden, ist ebenfalls sehr wichtig. Dies hilft dabei, potenzielle Sicherheitsprobleme zu erkennen und zu beheben.

Die richtige Konfiguration der Sicherheitseinstellungen für den Dienst ist entscheidend, um eine hohe Sicherheit zu gewährleisten. Administrator sollten sich daher genau informieren und entsprechende Maßnahmen ergreifen, um die Sicherheit des Dienstes zu gewährleisten.

Was ist der Unterschied zwischen LDAP und Active Directory?

LDAP ist ein Netzwerkprotokoll, das auf dem TCP/IP-Protokoll Stack basiert und für die Kommunikation zwischen Clients und Directory Servern verwendet wird. Active Directory ist ein Verzeichnisdienst, der auf dem LDAP-Protokoll basiert und von Microsoft entwickelt wurde. Active Directory Domain Services (AD DS) ist die Kernkomponente von Active Directory. Sie ermöglicht das Management von Benutzern und Computern in einer Domäne sowie die Bereitstellung von Diensten für diese Objekte. AD DS ist ein zentrales Verzeichnis, in dem Informationen über alle Objekte in einer Domäne gespeichert werden. Diese Objekte können Benutzer, Computer, Netzwerkgeräte und Dienste sein. Active Directory Federation Services (AD FS) ist eine optionale Komponente von AD DS, die Single-Sign-On (SSO) unterstützt.

Zusammenfassung

Der Domain Service Active Directory auch AD DS genannt, ist die Kernkomponente eines Microsoft Servers, sie ermöglicht das Management von Benutzern und Computern in einer Domäne. Active Directory ist ein Verzeichnisdienst, der in einem Netzwerk verwendet wird, um Informationen über die Objekte zu speichern. Es kann als eine Art Netzwerk Telefonbuch betrachtet werden. Active Directory-Objekte können Benutzer, Computer, Drucker und andere Geräte sein. Es wird auch verwendet, um Sicherheitsrichtlinien und Zugriffsrechte für die Objekte im Netzwerk zu verwalten.

Blog-Artikel teilen

Jetzt Kontakt aufnehmen!
Logo Allianz für Cybersecurity
BSI APT-Response Dienstleister
Diese Artikel könnten Sie auch interessieren
Fotomontage zum Thema Security Awareness. Zeigt Logo der Dr. Michael Gorski Consulting Gmbh, darunter steht: Keine Security Awareness? Hintergrund zeigt brennendes Feuer und andeutung eines Sicherheits-Symbols. Vordergründig steht, von hinten zu sehen, ein Feuerwehrmann in voller Montur mit Axt.
Security Awareness

„Wir machen schon einmal im Jahr ein Training zur Security Awareness…“ Das hören wir so immer mal wieder. Grund genug, mal darüber zu reden. Denn einmal im Jahr ein Security-Awareness-Training – reicht das? Gibt es denn eine akute Gefahr?

Weiterlesen »
Bild zeigt zum Thema Cyberkrieg & Cyberwar Montage eines im dunklen sitzenden Hackers. Im Hintergrund Einser und Nullen und eine digitalisierte Weltkarte. Schriftzug:"Cybekrieg Cyberwar, Subline: sind wir sicher?"
Cyberkrieg & Cyber Warfare

Aktuell sind Cyberkrieg, hybride Kriegsführung und Hackerangriffe bei vielen Thema. Die Unsicherheit ist groß, das Wissen dazu gering. Was kann man tun, um sich zu schützen und mit welchen Gefahren muss man wirklich rechnen? Eins vorab: Natürlich gibt es Wege, sich zu schützen.

Weiterlesen »
Kennen Sie schon unseren YouTube Kanal?